INFORMÁTICA FORENSE

Luis Francisco López Urrea

EJE 1
Conceptualicemos

Fuente: Shutterstock/133098560
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Evolución de la informática forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ÍNDICE
 Introducción Intuición
Se define como una habilidad
que puede ser innata que per-
Las condiciones del desarrollo y la evolución de la mite conocer, entender o per-
cibir un suceso o una situación
especie humana no han estado, ni están exentas de de forma clara y rápida sin que
situaciones propias de la naturaleza misma de los intervenga la razón.
individuos, así pues, sentimientos como la envidia, la
ambición, el odio, el amor o el desamor, entre muchos Evidencia
Término con raíz en el latín
otros, pueden convertirse en detonantes de situaciones evidentía, señala una certeza
inesperadas, muchas de las cuales pueden cerrar por
INTRODUCCIÓN

absoluta respecto de algo,

ejemplo un triángulo amoroso con la muerte de alguno
de sus protagonistas.
Así, a lo largo de la historia el ser humano ha sido
protagonista de muchas películas en su vida real, que,
frente a la cual no existe la po-
sibilidad de hacer su negación.
En el ámbito filosófico se define
como un conocimiento que se
logra a través de la intuición y
permite inferir su validez como
verdadera.

aunque parezcan extraídas de un guion de Hollywood,

Delito
lo único que hacen es confirmar aquella frase de algún
Se puede calificar bajo este
productor de cine: “la realidad supera la ficción”. término cualquier acción que
realizada de forma intencional
o por omisión o negligencia da
Acompáñenme entonces a descubrir el cómo, cuándo, lugar a una situación que pro-
por qué, bajo qué circunstancias, a través de qué medios duzca un resultado que lesione
la vida, bienes o integridad de
de muchas de las historias que abordamos como parte una persona natural o jurídica y
del contenido del presente curso, en el que acompaña- que se encuentra tipificada en
las normas o leyes, un delito da
dos de mucha intuición, variadas herramientas y una lugar a un castigo que se en-
computadora intentaremos encontrar las evidencias cuentra definido en las normas
propias de cada nación.
de algunos delitos que se cometen tomando como
blanco los sistemas informáticos o recurriendo a algún Informática forense
dispositivo tecnológico para obtener información que Según el FBI, la informática
pueda ayudar en el objetivo de infringir las leyes. Este, (o computación) forense es la
ciencia de adquirir, preservar,
apreciado estudiante, es el apasionante mundo de la obtener y presentar datos que
informática forense. han sido procesados electró-
nicamente y guardados en un
medio computacional.
 Durante el recorrido por el curso, encontramos histo-
rias reales que sustentan la aplicación de las ciencias Ciencias digitales
digitales forenses como disciplina para ayudar en la forenses
obtención de evidencias relacionadas con la investiga- El uso de métodos científica-
mente derivados y probados
ción de algún delito, además en algunos de los recursos para la preservación, recolec-
para el aprendizaje, va a encontrar información rele- ción, validación,

vante y pertinente que contribuye a ampliar sus cono-
cimientos sobre el tema. Los términos desconocidos y
palabras clave se encuentran resaltados como comen-
INTRODUCCIÓN
Identificación, análisis, interpre-
tación, documentación y pre-
servación de la evidencia digital
derivada de la

tarios para facilitar su búsqueda. Fuentes de información con

el fin de facilitar o promover
la reconstrucción de hechos
Le recomiendo acceder y analizar en detalle cada uno considerados criminales o
para anticipar las acciones no
de los recursos vinculados como parte de la lectura por- autorizadas demostrado ser
que a través de ellos y del desarrollo de las actividades perjudicial para las operaciones
planificadas. " DFRWS, 2001
y evaluaciones propuestas usted podrá convertirse en
un nuevo investigador digital forense. Disciplina
Hace alusión a una asignatura,
ciencia o área que se imparte
En algunos apartes de esta lectura va a encontrar como parte de un plan de es-
señaladas reflexiones que le recomiendo desarrollar tudios.

para socializarlas en los encuentros con el tutor.

 Evolución de la
informática forense
 Las ciencias forenses nacen como auxiliares de la investi-
gación criminal desde el siglo VIII después de cristo, se tiene Ciencia
información relacionada con técnicas de investigación con- Formulación de forma sistemá-
tica de conocimientos, basados
densadas en un manual, en el cual se efectúa el análisis de en la aplicación del método
ciertas evidencias, que pueden ayudar a determinar las cau- científico. Se define como el
conjunto de conocimientos que
sas de la muerte de una persona por ejemplo. Con el paso se pueden conseguir a partir
del tiempo y gracias al avance de las ciencias y las técnicas, de la observación, análisis y
razonamiento organizados de
el campo de acción de las ciencias forenses se ha hecho más forma sistemática que pueden
amplio. A partir de la aparición de los dispositivos de pro- originar principios o leyes.

cesamiento automático de información y de la revolución Criminal

Se refiere a las conductas desa-
de las computadoras, nace un nuevo ámbito de acción, la rrolladas por un individuo con el
informática. Por supuesto no podemos restringir la tarea al fin de causar daño en la inte-
gridad o bienes de otra persona
simple uso de herramientas informáticas para hacer inves- u organización.
tigaciones de tipo forense, en la actualidad y gracias a la Ubicuidad
ubicuidad de las tecnologías de la información y las comuni- Condición inherente a un obje-
caciones, las computadoras cumplen una doble función; de to o elemento que hace posible
su presencia en diferentes luga-
una parte pueden ser víctimas de ataques externos con el res de forma simultánea.
fin de causar daño, robar o extraer datos, cometer fraudes Ataques
financieros entre muchas otras actividades ilegales, de otra Intento de acceso a un disposi-
tivo electrónico, ya sea exitoso
parte para cometer estos delitos también se utilizan compu- o no, puede tener como fin
tadoras y a su vez para desarrollar el proceso de investigación causar daño, o ingresar a él
para obtener información.
se emplean herramientas forenses instaladas en los sistemas
Herramientas
de computación. Conjunto de elementos, obje-
tos, o en el caso de la informá-
tica programas que se emplean
Como pueden ver, las computadoras y los sistemas infor- para ayudar a desarrollar una
máticos se encuentran en el centro de la investigación como tarea o actividad.

víctima, victimario e investigador.

El uso del término ciencias forenses se remonta a la Edad

Media, aunque con un nombre diferente y solo apegado a la
investigación criminal; así para presentar ante los estrados
judiciales (el foro) un caso objeto de investigación por algún Caso
en términos forenses hacer re-
crimen se requería exponer ante los presentes las circuns- ferencia a toda la información
reunida con el fin de exponer
tancias, probables causas, tipo de armas y un sinnúmero de ante un tribunal las situaciones
informes que ayudarán a los administradores de justicia a relacionadas con la presencia
de un delito y sus presuntos
establecer el nivel de responsabilidad de los involucrados en responsables.
los hechos. Así, las ciencias forenses usan un conjunto de Victimas
técnicas y métodos de investigación, con el fin de encontrar, Personas u organizaciones o
explicar y de ser posible probar a través de evidencias, la exis- elementos que pueden haber
sufrido un daño producto de
tencia de un delito, o de una infracción. A partir de allí y a un delito.
través del análisis busca dar con los responsables, identificar
a las víctimas y determinar el tipo de ataque cometido y sus
consecuencias.

Informática forense - eje 1 conceptualicemos 6

 Uno de los principios de más amplia difusión y aplicación en
el contexto de la investigación forense se desarrolló en el año Principiio de intercambio
1910, por el investigador francés Edmond Locard, y se conoce Se refiere al planteamiento del
Investigador francés Edmond
con el nombre de “principio de intercambio” de Locard, el cual Locard, según el cual cuando
establece: “siempre que dos objetos entran en contacto trans- en una escena de un crimen
siempre habrá algún rastro de
fieren parte del material que incorporan al otro objeto”. Así, la persona que estuvo allí, a su
en el campo de la investigación forense se hace énfasis en vez siempre que una persona
está en un lugar lleva consigo
la “escena del crimen” como el escenario en el que se puede algo de ese lugar; por ejemplo,
obtener la mayor cantidad de información posible para tra- una fibra de alfombra, un ras-
tro de pintura entre otros.
tar de responder las preguntas que planteamos en el párrafo Escena del crimen
introductorio; pues según el principio si una persona estuvo Lugar en que se ha producido
en la escena de un crimen allí debió quedar un cabello, una que puede constituir un delito
que requiere una investigación
huella, una marca de zapato, una muestra de ADN, algo que adecuada en la que se apliquen
dé cuenta de la presencia del individuo en la escena. Además, todos los principios de la inves-
tigación criminal.
en su ropa en su piel o en sus efectos personales puede llevar
algo de la escena del crimen como una fibra de una alfombra,
una marca de pintura, una marca de madera o algún elemento
que permita validar su presencia.

PRINCIPIO DE TRANSFERENCIA DE LOCARD ENTORNO DIGITAL

Atacante ESCENA DEL DELITO

-Log de conexiones
-Registro de eventos
-Historial -Logo de conexiones
-Registro de eventos
-Conexiones TCP
-Rootkits
-Keyloggers

Casa central -Concesiones

San Francisco -Rutas Sucursal
-Trafico New York

Switch Router DCE Router DTE Switch

WAN

MÓDEM DCE MÓDEM DTE

(Equipo de comunicación (Equipo de terminal de datos)
de datos)
Figura 1. Locard
Fuente: propia

Así, el uso del método científico debía primar en el desarrollo de la investigación,

de ahí que usemos el término ciencias y, obvio, muchas de ellas como la medicina, la
antropología, la odontología, la patología, la toxicología, la ingeniería y en la actualidad
la informática son empleadas para desarrollar el proceso de investigación con el fin de
exponer ante estrados judiciales las evidencias obtenidas, su análisis, los resultados y las
conclusiones obtenidas como fruto de la investigación.

Informática forense - eje 1 conceptualicemos 7

 Bibliografía

Bbrezinski, D. y Killalea, T. (2002). RFC 3227: Guidelines for Evidence Collection and
Archiving. Network Working Group. Recuperado de http://www.rfceditor.org/
rfc/rfc3227.txt

Cano, D. (2011). Contra el fraude: prevención e investigación en América Latina.

Buenos Aires, Argentina: Ediciones Granica.

Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Compu-
ters, and the Internet. Baltimore, EE. UU.: Eoghan Casey.

Cano. J. (2010). El peritaje informático y la evidencia digital en Colombia: concep-

tos, retos y propuestas. Bogotá, Colombia: Universidad de los Andes.
BIBLIOGRAFÍA

Ormazábal, S. G., Pasamar, A. y Bellido M. (2006). Empresa y prueba informática.

Barcelona, España: J y B.

Fernández, D. (2004). Encuentro de hacking ético. SIMO, Sevilla, España.

Fiscalía General de la Nación (2006). Manual de procedimientos de cadena de cus-

todia. Bogotá, Colombia: Fiscalía General de la Nación.

Insa, M. F., y Lázaro, H. C. (2008). Pruebas electrónicas ante los tribunales en la lu-
cha contra la cibercriminalidad: un proyecto europeo. Caracas, Venezuela: Red
Enlace.

Instituto Nacional de Ciencias Penales. (2012). Protocolos de cadena de custodia:

dos grandes etapas: preservación y procesamiento. Ciudad de México, México:
Instituto Nacional de Ciencias Penales.

Miller, M. (2014). Exercise C - Locard Exchange Principle, Crime Scene Investigation

Laboratory Manual, 15-20. Doi:10.1016/B978-0-12-405197-3.00003-4

Ministerio de las Tecnologías de la Información y las Comunicaciones. (2014). Guía

21. Guía para la gestión y clasificación de incidentes de seguridad de la infor-
mación. Bogotá, Colombia: Ministerio de las Tecnologías de la Información y las
Comunicaciones.

Ministerio de las Tecnologías de la Información y las Comunicaciones. (2016). Guía

13, Evidencia digital. Serie seguridad y privacidad de la información. Bogotá, Co-
lombia: Ministerio de las Tecnologías de la Información y las Comunicaciones.

Stephenson, P. (2003). Structured Investigation of Digital Incidents in Complex

Computing Environments. Information Systems Security, 12(3), 29-38.
 Téllez, J. (2009). Derecho informático. Ciudad de México, México: McGraw-Hill In-
teramericana.

Watson, D. y Jones, A. (2013). Digital Forensics Processing and Procedures. Londres,

Reino Unido: Ed. Syngress.

ISO/IEC. (2012). Information technology - Security techniques - Guidelines for Iden-

tification, Collection, Acquisition, and Preservation of Digital Evidence. Ginebra,
Suiza: ISO.
BIBLIOGRAFÍA